همه چیز درباره پروتکل SSL / TLS و HTTPS

ستاره | سرویس تکنولوژی – اگر به فکر امنیت کارت‌های پرداخت خود، اطلاعات حساب‌ها هستید و به طور کلی به دنبال ایجاد یک ارتباط ایمن می‌گردید این نوشتار را مطالعه فرمایید. از سویی ممکن است شما دارنده یک وب سایت باشید و تاکنون با مفاهیم امنیت و ارتباط امن غریبه بوده‌اید یا اینکه اصلا به آن فکر نکرده‌اید، اما اگر قصد دارید به تعداد بازدیدکنندگان خود تکانی بدهید، بهتر است حدود ۶ یا ۷ دقیقه زمان بگذارید، درباره گواهی‌نامه SSL ،TLS و HTTPS مطالعه کنید و از این به بعد با خیال آسوده جستجوها، امور سایت و امور خرید و فروش را انجام دهید.

 

SSL چیست؟

SSL مخفف واژه “Secure Sockets Layer” به معنای لایه اتصال امن است و به‌طور کلی یک قرارداد برای ایجاد ارتباط امن در اینترنت است. به‌عبارت دیگر SSL نوعی از امنیت دیجیتال است که مجوز یک ارتباطات رمزگذاری شده بین یک تارنما (website) و یک مرورگر وب (web browser) را صادر می‌کند. اما بهتر است بدانید تکنولوژی حال حاضر منسوخ شده و به‌طور کامل، توسط TLS جایگزین شده است.

 

TLS چیست؟

TLS مخفف واژه “Transport Layer Security” است و به امنیت لایه ترابرد اشاره دارد. یک پروتکل امنیتی دیگر که به‌منظور اصالت سنجی به‌طور گسترده در مرورگرها و ارائه خدمات وب به کار گرفته می‌شود. TLS حریم خصوصی داده‌ها را به همان روشی که SSL انجام می‌دهد تضمین می‌کند. از آنجایی که SSL دیگر استفاده نمی‌شود، کاربران می‌بایست از گواهی‌نامه TLS استفاده کنند.

 

HTTPS چیست؟

HTTPS یک افزونه امن متعلق به پروتکل HTTP است. مدیرانی که نصب و پیکربندی‌های SSL یا TLS را در وب‌سایت‌های خود به کار می‌گیرند، می‌توانند از پروتکل HTTPS برای ایجاد یک ارتباط امن با سرور استفاده کنند.

• هدف از SSL یا TLS ایجاد یک راه امن و بی خطر برای انتقال داده‌های حساسی همچون اطلاعات شخصی، پرداخت‌ها و یا برای اطلاعات ورود به سیستم (login) است.
• همانطور که گفته شد، SSL یا TLS یک جایگزین مناسب برای انتقال داده‌ها به روشی است که در آن اطلاعات به صورت یک متن ساده در یک اتصال رمزگذاری نشده، به سرور فرستاده می‌شود. استفاده از این گواهینامه‌ها، کار را برای کلاهبرداران و هکرها که قصد سرقت اطلاعات و سرک کشی به حساب‌های شما را دارند، دشوارتر می‌کند.
• اکثر مردم با گواهینامه‌های SSL یا TLS آشنایی دارند. این پروتکل‌ها عموماً توسط مدیران سایت‌ها (webmasters) برای تأمین امنیت وب‌سایت و ایجاد یک راه امن برای انجام معاملات به کار گرفته می‌شوند. در همین راستا، شما به راحتی می‌توانید بگویید که آیا یک وب سایت از یکی از این گواهینامه‌ها استفاده می‌کند یا خیر.
  به‌طور خلاصه اگر در نوار جستجو قبل از نشانی وب (URL)، یک آیکون قفل یا یک نوار سبز قرار بگیرد، مشخص خواهد شد که وب‌سایت مورد نظر، از پروتکل‌های مورد بحث بهره می‌گیرد و ایمن است.

 

 گواهینامه‌های SSL / TLS  چگونه کار می‌کنند؟

گواهینامه‌های SSL / TLS با گره زدن یک کلید رمزنگاری شده به اطلاعات شناسایی یک شرکت، وظیفه خود را به خوبی انجام می‌دهند. پروسه مذکور این امکان را فراهم می‌کند تا نقل و انتقال داده‌ها به نحوی انجام شود که اشخاص ثالث نتوانند اصول رمزنگاشتی را بشکنند و  داده‌ها را رمزگشایی کنند.

 

 

SSL / TLS با داشتن کلید خصوصی* ، کلید عمومی** و همچنین کلیدهای نشست*** (session) یک نشست امن و منحصر به فرد را زمینه سازی می‌کنند. تا هنگامی که یک بازدید کننده یک آدرس حفاظت شده SSL را در مرورگر وب خود وارد می‌کند و یا در هنگام جستجوهایش به یک صفحه ایمن می‌رسد، مرورگر و سرور یک ارتباط ایجاد می‌کنند.

* کلید خصوصی یک کلید ویژه رمزنگاری است که گیرنده پیام از آن برای رمزگشایی نیز می‌تواند استفاده کند.

** در کلید عمومی، از دو کلید استفاده می‌شود؛ یک کلید برای رمزنگاری و کلید دیگر برای رمزگشایی. به‌عبارت‌دیگر کلید عمومی برای رمزگذاری “متن ساده” و برای تبدیل آن به “متن رمز” و کلید دیگر یعنی کلید خصوصی برای گیرنده و به جهت رمزگشایی “متن رمز” و تبدیل آن به “متن ساده” مورد استفاده قرار می‌گیرد.

*** کلید نشست کلیدی است که از آن برای رمزگذاری متقارن در یک نشست استفاده کرده و سپس آن را نابود می‌کنند.

 

در زمان اتصال اولیه و در وهله اول، از کلیدهای عمومی و خصوصی برای ایجاد کلید نشست استفاده خواهد شد و پس از آن برای رمزگذاری و رمزگشایی داده‌هایی مورد استفاده قرار می‌گیرد که قرار است انتقال یابند. یادآوری این نکته ضروری است که کلید نشست برای زمان محدود و تنها برای یک جلسه خاص معتبر خواهد بود.

برای اطلاعات بیشتر راجع به کلیدها و تفاوت آن­‌ها این نوشتار را مطالعه بفرمایید.

 

چرا و کجا از SSL / TLS باید استفاده کرد؟

هر زمان که بحث انتقال داده‌های حساسی همانند نام کاربری، رمزهای عبور و یا اطلاعات پرداخت در میان باشد، پروسه پردازش اطلاعات شروع خواهد شد.

هدف SSL / TLS این است که اطمینان حاصل کنیم که تنها یک نفر (فرد یا سازمانی که قصد ارسال داده‌ها را به آن داریم) می‌تواند به داده‌های منتقل شده دسترسی داشته باشد. این امر زمانی اهمیت پیدا می‌کند که شما می‌خواهید به تعداد دستگاه‌ها و سرورهایی که اطلاعات مابین آن‌ها رد و بدل شده تا به مقصد رسیده است، اشراف پیدا کنید.

 

 

اگر هنوز مجاب به استفاده از  SSL / TLS نشده‌اید، دلایل زیر را بخوانید:

دلیل اول: احراز هویت

در راستای انتقال داده‌ها، هر سرور می‌تواند وانمود کند که سرور شماست و اطلاعاتی را که کاربران در طول مسیر ارسال می‌کنند، بدزدد!
SSL / TLS به شما این اجازه را می‌دهد که هویت سرور خود را ثابت کنید تا کاربران بدانند با چه کسی روبرو هستند.

 

دلیل دوم: ایجاد و القای اعتماد و اطمینان در کاربر

اگر شما در حال راه اندازی یک وب‌سایت تجارت الکترونیک هستید یا این که قصد دارید از کاربران خود، داده‌هایی را درخواست کنید که برای آن‌ها از سطح امنیتی بالایی برخوردار است، باید یک حس اعتماد در آن‌ها ایجاد کنید. استفاده از یک گواهی SSL / TLS یک روش آشکار برای نشان دادن این امر است که بازدیدکنندگان سایت شما می‌توانند به شما اعتماد کنند. به‌طور مسلم این روش، بسیار موثرتر از هر روش دیگری است که شما می‌توانید درباره خود بگویید و خودتان را معرفی کنید.

 

دلیل سوم: تطابق با معیارهای صنایع

یکی از ملزومات همکاری با برخی از صنایع مانند صنایع مالی و سرمایه گذاری، این است که همیشه سطوح مشخصی از امنیت را تأمین کرده باشید. همچنین پایبندی به دستورالعمل‌های “صنعت کارت پرداخت” (Payment Card Industry: PCI) یکی دیگر از شروط همکاری است. چراکه تنها در این صورت قادر خواهید بود، اطلاعات کارت‌های اعتباری را در وب‌سایت خود پذیرش کنید. اما نگران نباشید، شما با استفاده از گواهینامه‌های SSL / TLS قادر به مهیا کردن همه این شرایط و ملزومات هستید.

 

آیا SSL / TLS تاثیری بر سئو  (بهینه سازی سایت ها در موتورهای جستجو: SEO) خواهد داشت؟

در یک کلمه باید گفت “بله”.

جالب است بدانید که گوگل در سال ۲۰۱۴ تغییراتی در الگوریتم خود ایجاد کرد تا سایت‌هایی که از گواهینامه SSL استفاده می‌­کردند را الویت‌بندی کند و از آن زمان تاکنون تاکید بیشتری بر گواهینامه‌های SSL داشته است. در همین راستا گوگل رسماً اعلام نمود سایت‌هایی که از SSL بهره می‌گیرند، رتبه بالاتری خواهند داشت. برای فهم بهتر مسئله، بد نیست بدانید که سایت‌های امن تنها ۱٪ از نتایج را تشکیل می‌دهند، اما حدود ۴۰٪ از جستجوها، حداقل به یک سایت امن شده با SSL ارجاع داده می‌شود.

 

 

در‌عمل، هنگامی که پای سئو به میان می‌آید، SSL تغییرات بسیار جزئی ایجاد می‌کند و نمی‌توان گفت با نصب آسان یک گواهینامه SSL روی وبسایت خود می‌توانید تغییرات شگرفی ایجاد کنید. اگر آموزش سئو دیده باشید، حتماً می‌دانید که تولید محتوای به‌روز و منظم و ایجاد لینک‌های ربایشی (inbound link) تاثیرات خیلی خیلی بیشتری خواهند داشت. البته تمام این موارد به این معنا نیست که بیخیال SSL شوید و همه چیز را فراموش کنید!

به یاد داشته باشید که موتورهای جستجو، از معیارهای مختلفی برای رتبه‌بندی وب‌سایت‌ها استفاده می‌کنند. یکی از این معیارها بانس ریت یا نرخ پرش است.  (در مقاله ۹ علت کاهش رتبه الکسا + راهکارهای کلیدی به‌طور ویژه به این اصطلاح پرداخته شده است.) در این بین داشتن یک گواهی SSL می‌تواند یک تفاوت مهم و اثربخش ایجاد کند. فردی که قصد خرید یا تحصیل اطلاعاتی را از سایت شما داشته باشد، وقتی می‌­بیند سایت شما ایمن است، یک حس اعتماد در او به وجود می­‌آید و برای مدت بیشتری در سایت وقت می‌­گذراند و به همین سبب مقدار بانس ریت کاهش می‌یابد.

 

خط ربط SSL / TLS و HTTPS چیست؟

هنگامی که شما سایت خود را با یک گواهی SSL راه‌اندازی می‌کنید، در واقع این کار شما به این معناست که برای انتقال داده‌های خود از پروتکل امن انتقال ابرداده‌ها (HTTPS: Hypertext Transfer Protocol Secure) استفاده کرده‌اید. این دو فناوری دست به دست هم می‌دهند تا امور شما را پیش ببرند و استفاده از یکی بدون دیگری، در عمل، نشدنی است.

دسترسی به نشانه‌های اینترنتی هم از طریق پروتکل امن ابرداده‌ها و هم از طریق پروتکل انتقال ابرداده‌ها (HTTP: Hypertext Transfer Protocol) امکانپذیر است. اینکه از کدام مسیر برای دریافت یا ارسال داده‌های خود استفاده می‌کنید بسیار مهم است. به تصویر زیر دقت کنید.

 

 

در واقع خط ربط SSL و HTTPS این مفهوم را می‌رساند که راه دیگری برای تشخیص استفاده یک سایت از  گواهینامه SSL وجود دارد. برای این کار کافی است به URL آن توجه کنید.

 

 

کروم مچ‌گیری می‌­کند!

همانطور که قبلاً هم بیان شد، امروزه تعداد زیادی از مرورگرها، به هنگام دسترسی به یک سایت، به شما اعلام خواهند نمود که آیا ارتباط شما امن است یا خیر؟ به‌طور مثال مرورگر کروم با قرار دادن یک آیکون قفل در نوار جستجوی خودش، ایمنی و امنیت سایت را به کاربران خود اعلام می‌کند.

 

 

جالب است بدانید در ژوئیه ۲۰۱۸ و با معرفی کروم ۶۸سایت­های بدون گواهینامه‌های SSL/TLS کمی به دردسر افتادند، کروم در نوار آدرس خودش و در کنار نشانی آن سایت، پیغام “امن نیست / not secure” را به مخاطب می‌رساند.

 

 

با این حساب، اگر تاکنون به فکر امنیت کاربران خود نبوده‌­اید و برای شما مهم نبوده است، باید بگوییم کمی خط مشی خود را تغییر دهید؛ چرا که از این به بعد تعداد مراجعه‌کنندگان شما دستخوش تغییر خواهد شد.

 

نحوه اضافه کردن SSL / TLS به وب سایتمان

قبل از هر چیز این نکته را باید بدانید که افزودن این گواهینامه‌ها کار هر کسی نیست و باید با یک حرفه‌ای در این زمینه تماس داشته باشید.

به‌طور خلاصه، در گام اول شما می‌بایست “SSH access” خود را فعال نمایید و در مرحله بعد “ACME client” را نصب نمایید. بعد از این شما می‌توانید با تهیه گواهینامه SSL/TLS و نصب آن از طریق ادمین هاست خود، کار را به پایان برسانید.

 

نحوه اضافه کردن SSL / TLS به وردپرس

افزودن گواهینامه‌های SSL / TLS به وردپرس کار آسان­‌تری است. این کار را می‌توانید با دانلود پلاگین‌­هایی نظیر Really Simple SSL یا SSL Insecure Content Fixer انجام دهید. اما با این حال، شما هنوز هم نیاز به خرید یک گواهینامه SSL از یک ارائه دهنده (provider) دارید.

 

 

برای نصب افزونه SSL Insecure Content Fixer، اینجا کلیک کنید.

 

 

برای نصب افزونه Really Simple SSL، اینجا کلیک کنید.

 

به محض خریداری و نصب گواهینامه‌ها، شما باید تغییراتی در تنظیمات وردپرس خود ایجاد نمایید.

برای این کار به Settings › General بروید، آدرس وردپرس وب سایت خود را بیابید وآن­ها را از HTTP به HTTPS تغییر دهید. تغییرات خود را اعمال کنید و با بررسی سایت خود از صحت تغییرات حاصل شده اطمینان حاصل کنید.

 

 

سخن آخر

SSL مخفف واژه “Secure Sockets Layer” به معنای لایه اتصال امن است و به کاربران راجع به انتقال امن داده ها به سرور یا از آن، اطلاعاتی می‌دهد. داده ها طبق اصول این پروتکل، به نحوی رمزگذاری خواهد شد که اشخاص دیگری همچون هکرها و کلاهبرداران به آن دسترسی نداشته باشند.  

با مطالعه نوشتار بالا، از این به بعد قادر خواهید بود که سایت های امن را از سایت های ناامن تشخیص دهید و در یک بستر ایمن امور اینترنتی خود را انجام دهید.

اگر کارشناس سئو هستید یا در این زمینه مطالعاتی دارید، دیگر می دانید که گواهینامه های SSL/TLS چه تاثیری بر این حوزه و متعاقبا رتبه بندی سایت‌ها خواهند داشت. 

به خاطر داشته باشید که SSL را می توان در هر دستگاهی به کار بست، در ثانی این گواهینامه یک گزینه امنیتی چند منظوره در عصر دیجیتال است. اگر در این زمینه هنوز ابهامی برای شما وجود دارد، آن ها را با کارشناسان ما مطرح کنید و در اسرع وقت پاسخ خود را دریافت نمایید.

اگر قصد ایجاد یک سایت امن دارید پیشنهاد می‌کنیم مقاله های چگونه سایت بسازیم؟ و آموزش تصویری مرحله به مرحله ثبت سایت در گوگل  را نیز در ستاره بخوانید. همچنین می‌توانید با بهترین هاست‌ های رایگان آشنا شوید.